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BESCHREIBUNG 
Sicheres Personalisieren von Chipkarten 

Die Erfindung betrifft ein Verfahren zum Initialisieren und 
Personalisieren einer Chipkarte und eine entsprechende 
Chipkarte . 

Bei der Herstellung von Chipkarten gibt es zwei 
Produktionsschritte, die sich mit dem Aufbringen von Daten 
auf die Chipkarte beschaf tigen, Initialisierung und 
Personalisierung . 

Wahrend der Initialisierung werden im Speicher der Chipkarte 
die spater benotigten Strukturen, beispielsweise Dateien, 
Verzeichnisse und deren Zuordnung zueinander, angelegt. 
Weiterhin werden Daten auf die Chipkarte aufgebracht, die 
fur alle Chipkarten einer Serie gleich sind. Bei der 
Initialisierung ist die Geschwindigkeit als Kostenfaktor von 
Bedeutung. 

Wahrend der Personalisierung werden geheime und/oder 
kartenspezif ische Inf ormationen auf die Chipkarte 
aufgebracht. Wurde beispielsweise bei der Initialisierung 
die Nummer der Kartenorganisation eingetragen, die fur alle 
Chipkarten gleich ist, so wird bei der Personalisierung 
beispielsweise die Kreditkartennummer , die karten- 
individuell 1st, in den Speicher der Chipkarte programmiert . 
Eine wichtige Anforderung dabei ist, dass eine 
Personalisierung nur fur diejenigen Datenfelder moglich ist, 
die fur eine Personalisierung vorgesehen sind. Es muB 
sichergestellt werden, dass die Daten an die richtige 
Stelle, d.h. nur in die bei der Initialisierung vorgesehenen 
Personalisierungsdatenf elder geschrieben werden. Diese 
Anforderung wird bisher dadurch gelost, dafl wahrend der 
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Initialisierung sogenannte Platzhalter in den Speicher der 
Chipkarte eingebracht werden. Bel der Obertragung von 
Personalisierungsdaten in ein Personalisierungsdatenf eld 
wahrend der Personalisierung werden dann zusatzliche 
Informationen, zusammen mit den Personalisierungsdaten, an 
die Chipkarte ubergeben. Anschlieftend werden diese 
zusatzlichen Informationen mit den Informationen verglichen, 
die in dem Platzhalter gespeichert sind. Sind diese 
identisch, werden die Personalisierungsdaten in den Speicher 
der Chipkarte geschrieben. Diese Prufung 1st jedoch nlcht 
derart robust, dafl eine Fehlverwendung auszuschliefien ware. 
Es sind Chipkarten bekannt, auf die mehrere Chipkarten- 
anwendungen geladen werden. Eine Chipkartenanwendung 1st ein 
Dienst, der mit der Chipkarte ausgefuhrt werden kann, 
beispielsweise eine Zahlungsf unktion (Chipkartenanwendung A) 
Oder ein elektronischer Fuhrerschein (Chipkartenanwendung 
B) . Fur die Gewahrleistung der Sicherheit bei der 
Personalisierung der Chipkarte ist es dabei erf orderlich, 
die Chipkartenanwendungen bei der Personalisierung zu 
trennen, d.h. sicherzustellen, dass ausschlieJilich der 
Anbieter der Chipkartenanwendung A in der Lage ist, die 
Chipkartenanwendung A zu personalisieren, also Daten fur die 
Chipkartenanwendung A auf die Chipkarte auf zubringen. 
Gleiches gilt fur den Anbieter der Chipkartenanwendung B und 
fur jede weitere Chipkartenanwendung. Eine sichere Trennung 
der Chipkartenanwendungen bei der Personalisierung wurde 
bisher in keinem Chipkarten-Personalisierungssystem 
realisiert . 

Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren zum 
verbesserten Initialisieren und Personalisieren von 
Chipkarten und eine entsprechende Chipkarte bereitzustellen . 

Erf indungsgemafl wird diese Aufgabe durch die unabhangigen 
Anspriiche gelost. 
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Entsprechend der vorliegenden Erfindung werden auf der 
Chipkarte Datenstrukturen angelegt, die eine eindeutige 
Zuordnung der bei der Personalisierung auf die Chipkarte zu 
iibertragehden Daten zu den einzeinen Chipkartenanwendungen 
und dam it zu den Anbietern dieser Chipkartenanwendungen 
ermoglicht. Dadurch wird eine sichere Trennung der 
Chipkartenanwendungen bei der Personalisierung realisiert. 
Mit der vorliegenden Erfindung wird es, beispielsweise den 
Anbietern von Chipkartenanwendungen, wahrend der 
Personalisierung unmoglich gemacht, Personalisierungsdaten 
in nicht da fur vorgesehene Personal isierungsdatenf elder zu 
schreiben. Die vorliegende Erfindung erlaubt eine robuste 
Personalisierung der bei der Initialisierung definierten 
Personalisierungsdatenf elder, wobei nur die dafur 
vorgesehenen Speicherzellen des Chipkartenspeichers 
personalisiert werden konnen. Bei der Anwendung der 
vorliegenden Erfindung wird kein zusatzlicher Speicherplatz 
im Chlpkartenspeicher benotigt. Die fur eine derartlge 
Personalisierung erf orderliche Initialisierung erfolgt dabei 
ohne GeschwindigkeitseinbuAen im Vergleich zu herkommlichen 
Initialisierungsverf ahren . 

Die Erfindung ist nachstehend anhand von bevorzugten 
Ausf uhrungsf ormen naher beschrieben. Es zeigt: 

Fig.l den schematischen Aufbau elner Chipkarte mit 

Datenspeicher und einzelne Speicherblocken, 

Fig. 2 den schematischen Aufbau zweier Personali- 

sierungsbeschreibungen (PD) und ihre logische 
Verbindung nach der vorliegenden Erfindung, 

Fig. 3 den schematischen Aufbau einer Anwendungs- 

beschreibung (AD) und zweier Persona 1 is ierungs - 
beschreibungen (PD) und ihre logischen 





DE9-1999-0004 



- 4 - 



Verbindungen miteinander nach der vorliegenden 
Erfindung, 



Fig. 4 



den Datenspeicher einer Chipkarte nach einer 
erf indungsgemSBen Initialisierung, 



Fig. 5 



den Datenspeicher einer Chipkarte wahrend einer 
erf indungsgemaBen Personal isierung, 



Fig. 6 



den Ablauf einer Personalisierung entsprechend der 
vorliegenden Erfindung. 



Fig.l zeigt eine Chipkarte 100 , wie sie in einer bevorzugten 
Ausf iihrungsf orm der vorliegenden Erfindung verwendet wird. 
Dabei handelt es sich bei der Chipkarte urn eine sogenannte 
Smartcard, also eine Chipkarte mit Prozessor 101, 
Datenspeicher 102 und Software, zum Beispiel dem 
Chipkartenbetriebssystem. Bevorzugt wird dabei der 
Datenspeicher 102 der Chipkarte 100 mittels einer 
Speicherverwaltung verwaltet, die sich auf der Chipkarte 100 
befindet, und zum Beispiel Teil des Chipkartenbetriebs- 
systems ist. Die Speicherverwaltung unterteilt den 
Datenspeicher 102 der Chipkarte 100 in einzelne 
Speicherblocke 103. Diese Unterteilung erfolgt bevorzugt 
dynamisch, d.h. je nach Speicherplatzanf orderung der 
einzelnen Betriebssystemf unktionen oder Chipkarten- 
anwendungen. Jeder Speicherblock 103 verfugt iiber eine 
physikalische Adresse, die von der Speicherverwaltung 
verwaltet wird. Da diese Adressen von der aktuellen 
Chipkartenbetriebssystemversion der verwendeten 
Chipkartenhardware und anderen Randbedingungen abhangig ist, 
wird in der bevorzugten Ausf iihrungsf orm mit Of f set-Angaben 
gearbeitet. Soil nun ein Speicherbereich im Datenspeicher 
102 der Chipkarte 100 initialisiert werden, beispielsweise 
zum Anlegen einer Datei, wird iiber ein Chipkartenkommando, 
beispielsweise CREATE FILE/ ein freier Speicherblock 103, 
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zugewiesen und gegebenenf alls mit Daten beschrieben. Fur das 
Schreiben von Daten in einen bestimmten Berelch innerhalb 
dieses Speicherblockes 103 wird bevorzugt wiederum ein 
Offset, beispielsweise bezogen auf den Anfang des 
Speicherblocks 103, verwendet. Durch die Verwendung 
relativer Speicheradressen wird eine Abstraktion von 
hardware-spezif ischen, physikalischen Speicheradressen 
erreicht . 

Im folgenden wird die Initialisierung beschrieben, die zur 
Vorbereitung der Personalisierung der Chipkarte 100 dient. 

Wahrend der Initialisierung wird an jede Stelle innerhalb 
eines Speicherblockes 103, die ein Personalisierungsdaten- 
feld aufnehmen soil, eine Personalisierungsbeschreibung, der 
sogenannte Personalization Descriptor (PD) geschrieben. 
Fig. 2 zeigt den Aufbau eines PD 200. Dabei enthalt jede 
Personalisierungsbeschreibung ein Offsetfeld NEXT 203. 
Zusatzlich kann jede Personalisierungsbeschreibung ein 
Langenfeld LEN 201 und ein Statusfeld FLAG 202 enthalten. 
Zur Beschreibung von weiteren Personalisierungseigenschaf ten 
ist das Einfiigen weiterer optionaler Felder moglich. 

1st es fur die Personalisierung einer Chipkartenanwendung 
erf orderlich, mehr als einen Personalisierungsdatensatz zu 
iibertragen, werden wahrend der Initialisierung entsprechende 
Speicherzellen im Datenspeicher 102 der Chipkarte 100 durch 
weitere PDs reserviert. Das Offsetfeld NEXT 203 des PD 200 
gibt den Offset, also die Speicheradresse, eines weiteren PD 
210 an. Uber das Offsetfeld 203 werden die erf orderlichen 
PDs 200, 210 in PD-Listen organisiert, so daJi fiir die 
Personalisierung eine Reihe von PDs 200, 210, ... in einer 
bestimmten Reihenfolge feststehen. Die PDs 200, 210, ... 
sind dabei in der gleichen Reihenfolge im organisatorischen 
Sinne miteinander verbunden, in der die Personalisierungs- 
daten wahrend der anschlieflenden Personalisierung an die 
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Chipkarte 100 iibergeben werden. Enthalt die PD-Liste keine 
weiteren Elemente, oder besteht die PD-Liste aus lediglich 
einem Element, so kann das beispielsweise dadurch 
gekennzeichnet werden, dass das Offsetfeld 203 des letzten 
PD den Inhalt Null hat. In Fig. 2 ist die Verbindung zweier 
PDs, hier PDl und PD2, zu einer PD-Liste dargestellt. Durch 
die Verwendung relativer Speicheradressen wird, wie oben 
beschrieben, eine Abstrahierung von den physikalischen 
Adressen erreicht, was insbesondere dann vorteilhaft ist, 
wenn nachtragliche Anderungen an der Chipkartenhardware oder 
dem Chipkartenbetriebssystem vorgenommen werden miissen. 

Urn die Robustheit der Personalisierung zu erhohen, kann das 
optionale Langenfeld LEN 201 eingefuhrt werden. Im 
Langenfeld LEN 201 des PD 200 wird dabei die Lange, 
beispielsweise in Bytes, des Personalisierungsdatenf eldes 
angegeben, welches wahrend der spateren Personalisierung an 
die Stelle des PD 200 tritt, zu dem das Langenfeld 201 
gehort. 

Bevorzugt ist die Lange eines wahrend der Initialisierung in 
den Datenspeicher 102 geschriebenen PD 200 kleiner als die 
Lange des spater iibertragenen Personalisierungsdatenf eldes . 
Beispielsweise betragt die Lange eines PD 4 Byte, wohingegen 
die Lange eines Personalisierungsdatenf eldes beispielsweise 
40 Byte betragt. Ein PD 200 kann aber auch ebenso grofl wie 
das dazugehorige Personalisierungsdatenf eld sein. Durch die 
Einfuhrung des Langenf eldes 201 ist ein Schutz gegen das 
Zerstoren der initialisierten Speicherstrukturen moglich. 

Zur Erhohung der Sicherheit wahrend des Personalisierens 
kann das optionale Statusfeld FLAGS 202 eingefuhrt werden. 
Das Statusfeld 202 eines PD 200 dient zur Speicherung 
verschiedener Statusbits, sogenannten flags, die festlegen, 
welche Eigenschaf ten die Personalisierungsdaten besitzen 
miissen, die bei der Personalisierung an die Stelle des PD 
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200 geschrieben werden sollen. Beispielsweise kann somit 
festgelegt werden, ob die Personalisierungsdaten 
verschlusselt/unverschliisselt und/oder signiert/unsigniert 
etc. sein mussen. 

Mit der Einfiihrung dieser erweiterten Personalisierungsbe- 
schreibungen wird eine fur jeden Personalisierungsdatensatz 
individuell definierbare Steuerung des Personalisierungs- 
verfahrens ermoglicht. 

Zusatzlich wird wahrend der Initialisierung fur jede 
Chipkartenanwendung mindestens eine Anwendungsbeschreibung, 
ein sogenannter Application Descriptor (AD), im 
Datenspeicher 102 der Chipkarte 100 angelegt. Da die 
Chipkartenanwendungen jeweils einem Anbieter zugeordnet 
sind, sind auch die ADs den Anbietern der Chipkarten- 
anwendungen zugeordnet. Den Aufbau eines AD 300 zeigt Fig. 3. 

Ein AD 300 umfaBt zur Identif izierung des AD eine 
Anwendungsbezeichnung 30 1, die diejenige Chipkartenanwendung 
bezeichnet, deren Personalisierung unter Verwendung des AD 
300 durchgefuhrt werden soli. Die Anwendungsbezeichnung 301 
wird im folgenden auch mit Application Identifier (AID) 
bezeichnet. Vorzugsweise umfafit der AID 301 dabei den Namen 
der entsprechenden Chipkartenanwendung sowie eine eindeutige 
numerische Identif ikation des AD 300. 

Weiterhin umfaflt der AD 300 den Offset ACT 302 des nachsten 
zu bearbeitenden PD. Dabei wird das Offsetfeld 302 so 
initialisiert, da/) es vor Beginn der Personalisierung auf 
den ersten PD 200 einer PD-Liste zeigt. 

Zusatzlich kann der AD 300 weitere Daten, beispielsweise 
Schlusseldaten KEY 303 fur die Anwendung kryptographischer 
Sicherheitsmechanismen, zum Beispiel fur die Entschliisselung 
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der verschlusselt iibertragenen Personalisierungsdaten Oder 
fiir die Uberpriifung einer Signatur enthalten. Das erlaubt 
jedem Anbieter von Chipkartenanwendungen die individuelle 
Gest.alt.ung der anzuwendenen kryptographischen 
Sicherungsverf ahren wahrend der Personalis ierung. 

Weiterhin kann der AD 300 auch einen Fehlbedienungszahler 
CNT 304 umfassen. Zur Erhohung der Robustheit der 
Personalisierung kann der AD 300 des weiteren einen 
sogenannten Sequence Counter SEQ 305 umfassen, einen Zahler, 
der bei jedem erf olgreichen Eintragen eines 

Personalisierungsdatensatzes in den Datenspeicher 102 der 
Chipkarte 100 inkrementiert wird, und beispielsweise wahrend 
der Personalisierung zur Synchronisation mit externen 
Datenbankanwendungen eingesetzt werden kann. 

Ein PD 200, 210, . .. kann jeweils nur einer PD-Liste 
zugeordnet sein, wobei jede PD-Liste jeweils einem 
bestimmten AD 300, und damit einer Chipkartenanwendung 
zugeordnet 1st. Sollen sich mehrere Chipkartenanwendungen 
auf der Chipkarte 100 befinden, mussen demnach auch mehrere 
PDs Oder PD-Listen vorhanden sein. Damit wird eine Trennung 
der Chipkartenanwendungen erreicht. Durch die beschriebene 
Art der Initialisierung mit einer Listenorganisation der PDs 
200, 210, ... und einer Kopplung der einzelnen PD-Listen an 
je einen AD 300 ist eine eindeutige Zuordnung der 
Personalisierungsf elder zu den verschiedenen Anbietern der 
jeweiligen Chipkartenanwendungen gegeben. Da ein AD 300 
jeweils nur einer Chipkartenanwendung zugeordnet ist, werden 
sicherheitsrelevante Daten, wie Schliisseldaten KEY 303, 
eindeutig einer bestimmten Chipkartenanwendung zugeordnet. 

Nach den beschriebenen Initialisierungsschritten zur 
Vorbereitung der Personalisierung ergibt sich beispielhaft 
das in Fig. 4 gezeigte Speicherabbild, in dem auch die 
logischen Verbindungen der einzelnen Elemente miteinander 
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dargestellt sind. Im Beispiel handelt es sich um einen 
Datenspeicher; 102 mit zwei Chipkartenanwendungen A und B, 
denen je eine Anwendungsbeschreibung ADA 401 und ADB 402 
zugeordnet ist. Weiterhin sind der Anwendungsbeschreibung 
ADA 401 die Personal isierungsbeschreibungen PDA1 403 und 
PDA2 404, und der Anwendungsbeschreibung ADB 402 die 
Personalisierungsbeschreibungen PDB1 405 und PDB2 406 
zugeordnet- Vorteilhaft ist, wie in Fig. 4 dargestellt, dafl 
sowohl Anwendungsbeschreibungen 401, 402 als auch 
Personalisierungsbeschreibungen 403, 404, 405, 406 in 
beliebiger Reihenfolge im Datenspeicher 102 der Chipkarte 
100 abgelegt sein konnen. 

Nachdem die Initialisierung der Chipkarte 100 beschrieben 
wurde, wird jetzt naher auf die Personalisierung 
eingegangen, bei der die geheimen und/oder karten- bzw. 
nutzerspezif ischen Personalisierungsdaten auf die Chipkarte 
100 aufgebracht werden. Bei der Beschreibung der einzelnen 
Schritte der Personalisierung wird auf Fig. 6 Bezug genommen. 
In der beschriebenen Ausf uhrungsf orm sind die Felder LEN und 
FLAGS in der Personalisierungsbeschreibung enthalten. 

Die Personalisierung erfolgt nun durch das Abarbeiten der 
PD-Liste fur jeden AD 401, 402- Als Beispiel soil hier die 
Personalisierung einer Chipkartenanwendung A dienen. Dazu 
wird, wie in Schritt 601 dargestellt, beispielsweise durch 
einen Operator, welcher die Personalisierung durchfiihrt, ein 
Personalisierungskommando, beispielsweise in der Form 
PERSONALIZE (AID, erster Personalisierungsdatensatz ) , zu der 
Chipkarte 100 gesendet, das die Kennung AID 301 des der 
entsprechenden Chipkartenanwendung zugeordneten ADs 401 und 
einen ersten Personalisierungsdatensatz enthalt. Durch die 
Obermittlung der Kennung AID 301 wird der Personalisierungs- 
vorgang in der Chipkarte 100 angestoflen. Mit Hilfe von 
Funktionen des Chipkartenbetriebssystems wird der AD der 
Chipkartenanwendung A, welcher die entsprechenden Kennung 
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AID aufweist und hier (siehe Fig. 4) mit ADA 401 bezeichnet 
ist, aus den im Datenspeicher 102 vorhandenen ADs 401, 402 
ausgewahlt, Schritt 602. Fur eine fehlerfreie 
Personalisierung mul) der ubermittelte Personalisierungs- 
datensatz diejenigen Daten enthalten, die in das 
entsprechende erste Personal is ierungsdatenf eld, hier PDA1 
403, geschrieben werden sollen. 

Fur den Fall, dass die Chipkarte 100 fur eine Nutzung 
vorgesehen ist, in der lediglich eine einzige 
Anwendungsbeschreibung AD notwendig ist, kann auf das 
Vorhandensein der Kennung AID 301 in der Anwendungs- 
beschreibung und im Personalisierungskommando verzichtet 
werden . 

Anschlieflend erfolgt in Schritt 603 in der Chipkarte 100 die 
Uberprufung, ob der Wert im Langenfeld 201 des PD, der iiber 
das Offsetfeld ACT 302 des ADA 401 referenziert wird, hier 
also PDA1 403, identisch ist mit der Lange des im 
Personalisierungskommando ubergebenen Personalisierungs- 
datensatzes . 

Falls dies der Fall ist, wird der Personalisierungsdatensatz 
in Schritt 604 dahingehend uberpriift, ob er den im 
Statusfeld FLAGS 202 von PDA1 403 definierten 
Sicherheitsanf orderungen geniigt. Ist beispielsweise im 
Statusfeld FLAGS festgelegt, dass die iibermittelten 
Personalisierungsdaten mit einer digitalen Signatur versehen 
sind, so erfolgt zum Beispiel eine Uberprufung der 
Personalisierungsdaten dahingehend, ob eine derartige 
Signatur vorhanden ist und ob diese Signatur unverandert 
ist. Die Prufung der Signatur erfolgt zum Beispiel unter 
Verwendung von Schlusseldaten KEY 303 aus ADA 401, die einen 
entsprechenden Signaturschlussel enthalten konnen. Ist 
beispielsweise in dem Statusfeld FLAGS festgelegt, daB die 
iibermittelten Personalisierungsdaten verschliisselt sind, so 
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erfolgt zum Beispiel eine Oberpriifung dleser Verschliisselung 
und/oder eine Entschliisselung dieser Daten zum Beispiel 
unter Verwendung von Schliisseldaten KEY 303 aus ADA 401, 
die einen entsprechenden kryptographischen Schliissel 
enthalten konnen. Fur die Oberpriifung von 
Sicherheitsmerkmalen kann das Personalis ierungskommando 
Vergleichswerte von Priifsummen etc. enthalten. In Schritt 
604 werden bevorzugt alle in Statusfeld FLAGS definierten 
Sicherheitskriterien abgearbeitet . 

1st diese Sicherheitspruf ung erfolgreich, wird das 
Offsetfeld ACT 302 in ADA 401 in Schritt 605 mit den in PDA1 
403 gespeicherten Offsetfeld NEXT 203 iiberschrieben. Der 
(gegebenenf alls entschliisselte) Personal isierungsdatensatz 
wird an die Stelle im Datenspeicher 102 geschrieben, an der 
PDA1 403 gespeichert ist. Da somit PDA1 403 iiberschrieben 
wird, wird die Speicherkapazitat des Datenspeichers optimal 
ausgenutzt . 

Werden die optionalen Felder nicht verwendet, entfallt die 
Oberpriifung der Lange der Personalisierungsdaten und/oder 
der Sicherheitsanf orderungen, was eine Erhohung der 
Personalisierungsgeschwindigkeit zur Folge hat. Im Fall der 
schnellsten Personalisierung werden die Personalisierungs- 
daten in ihrer bestimmten Reihenfolge an die Chipkarte 100 
iibertragen und dort in die dafiir vorgesehenen Felder 
geschrieben. Dabei ist die Trennung der Anwendungen durch 
das verwendete Adressierungsprinzip durch PD's und AD's 
gewahrleistet . 

Bei einer Personalisierung entsprechend der vorliegenden 
Erfindung ist es nicht erf orderlich, neben den eigentlichen 
Personalisierungsdaten (und der Kennung AID 301 beim 
Vorhandensein mehrerer Anwendungsbeschreibungen) zusatzliche 
Inf ormationen iiber vorhandene Platzhalter an die Chipkarte 
100 zu iibertragen, da sich alle notwendigen Inf ormationen, 
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insbesondere iiber die wahrend der Personalisierung zu 
verwendenden Speicheradressen, bereits auf der Chipkarte 
befinden. Entsprechend reduziert sich die fur den 
Personalisierungsvorgang benotigte Datemibertragungszeit . 
Damit sind wesentlich schnellere Personalisierungen als 
bisher moglich, insbesondere dann, wenn auf den Einsatz von 
zeitintensiven Optionen, wie beispielsweise dem Zahler SEQ 
305 , verzichtet wird. 

Die beschriebenen, wahrend des Initialisierungs- und 
Personalisierungsvorganges notwendigen Vorgange auf der 
Chipkarte 100, insbesondere die Schritte 602 bis 607 , die 
durchzufiihrenden Oberpruf ungen und Berechnungen, werden auf 
der Chipkarte 100 mittels entsprechender Programmroutinen, 
welche zum Beispiel im Chipkartenbetriebssystem 
implementiert sind, mittels des Prozessors 101 ausgefuhrt. 

Wurde bei der Initialisierung, beispielsweise durch das 
Setzen eines entsprechenden Bits im Statusfeld FLAGS 202 des 
PDA1 403, festgelegt, dass der erste Personalisierungs- 
datensatz mit einer bestimmten Signatur versehen sein mufl, 
so ist aufgrund der Sicherheitsuberpruf ung ein Uberschreiben 
von PDA1 403 nur fur denjenigen moglich, der einen 
entsprechenden Personalisierungsdatensatz an die Chipkarte 
100 ubergibt. Ein versehentliches oder absichtliches 
Uberschreiben von anderen PDs 404, 405, 406 wird dadurch 
ausgeschlossen. Da fur jeden PD 403, 404, 405, 406, also fur 
jedes Personalisierungsdatenf eld, schon bei der 
Initialisierung eigene Sicherheitsmerkmale definiert werden 
konnen, kann die Personalisierung jedes einzelnen 
Personalisierungsdatenf eldes einzeln gesteuert werden. Dabei 
konnen die einmal definierten Sicherheitsmerkmale spater 
nicht mehr umgangen werden. 

Alternativ kann wahrend der Initialisierung, beispielsweise 
durch ein entsprechendes Steuerbit im Statusfeld FLAGS 202, 
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festgelegt werden, dafi der im Personalisierungskommando 
iibergebene Personal is ierungsdatensatz kurzer sein darf als 
vorgesehen, d.h. dass dieser Wert kleiner 1st als der Wert 
im Langenfeld LED 201 des entsprechenden PD. Da in diesem 
Fall die iibertragene Personalisierungsdatenmenge geringer 
ist, kann der schon reservierte, aber nicht genutzte 
Speicherplatz im Datenspeicher 102 der Chipkarte 100 mit 
Fiillbytes aufgefiillt werden. Die Sicherheitspriif ung erfolgt 
also in diesem Fall auch dann, wenh der iibertragene 
Personalisierungsdatensatz kurzer ist als bei der 
Initialisierung bestimmt. 

Die Situation im Datenspeicher 102 der Chipkarte 100 zeigt 
nun Fig. 5, in der wiederum auch die logischen Verbindungen 
der einzelnen Elemente miteinander dargestellt sind. An der 
Stelle des PDA1 403 befindet sich der iibertragene 
Personalisierungsdatensatz 500 (in Fig. 5 ist der 
urspriingliche Platz von PDA1 403 mit gestrichelten Linien 
angedeutet) . Das Offsetfeld ACT 302 von ADA 401 zeigt auf 
PDA2 404. Die Datenstrukturen (ADB, PDB1, PDB2 ) fur die 
Chipkartenanwendung B sind unverandert. 

Im nachsten Personalisierungskommando kann, beispielsweise 
mit einem Personalisierungskommando der Form PERSONALIZE 
(AID, zweiter Personalisierungsdatensatz), PDA2 404 
iiberschrieben werden. Alternativ konnte mit dem 
Uberschreiben von PDB1 405 begonnen werden, usw. Zu 
beachten ist, dass die Reihenfolge der zu iibertragenden 
Personalisierungsdatensatze 500 der Verbindung der PDs 403, 
404, 405, 406 in den jeweiligen PD-Listen entsprechen mufc. 
Hierbei kann unterstiitzend zum Beispiel der Zahler SEQ 305 
verwendet werden . 

Sind alle PDs eines AD iiberschrieben, d.h. enthalt die PD- 
Liste keine weiteren Elemente, was dadurch gekennzeichnet 
sein kann, dass das Offsetfeld NEXT 203 des letzten PD den 
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Inhalt Null hat, so wird in Schritt 607 der verwendete AD 
der entsprechenden Chipkartenanwendung geloscht. Die 
Chipkartenanwendung ist komplett geladen* 

In einer Ausf uhrungsf orm der Erfindung wird die Kennung AID 
301 in dem Personalisierungskommando lediglich in den Fallen 
iibertragen, in denen eine neue Anwendungsbeschreibung AD 
ausgewahlt werden soil, beispielsweise bei der Ubertragung 
des ersten Personalisierungskommandos . Solange eine 
darauf folgendes Personalisierungskommando keine Kennung AID 
301 enthalt, erfolgt die Zuordnung der iibertragenen 
Personalisierungsdaten zu der entsprechenden Anwendungsbe- 
schreibung automatisch, beispielsweise unter Verwendung 
entsprechender Funktionen des Chipkartenbetriebssystems . 
Erst bei der Obertragung einer weiteren Kennung AID 301 wird 
erneut ein entsprechender AD ausgewahlt. 

Die Personalisierung auf der Chipkarte 100 erfolgt unter 
Verwendung bekannter, zum Beispiel zuvor definierter Dienste 
und Routinen des Chipkartenbetriebssystems, die durch 
Kommandos, beispielsweise durch die Personalisierungs- 
kommandos, aufgerufen werden konnen. 
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patentansprOche 

verfahren zum Initialisieren und Personalisieren einer 
Chipkarte (100), wobei Daten fur mindestens eine 
Chipkartenanwendung in den Datenspeicher (102) der 
Chipkarte (100) ubertragen werden, mit den Schritten 

wMhrend der Initialisierung: 

Schreiben mindestens einer Anwendungsbeschreibung (300) 
fur eine Chipkartenanwendung in den Datenspeicher (102) 
der Chipkarte (100), wobei die Anwendungsbeschreibung 
(300) Angaben (302) uber eine Speicheradresse genau 
einer Personalisierungsbeschreibung (200) umfafit, 
Schreiben mindestens einer Personalisierungs- 
beschreibung (200) in den Datenspeicher (102) der 
Chipkarte (100), wobei die Personalisierungsbe- 
schreibung (200) Angaben (203) uber eine 
Speicheradresse einer nachsten Personalisierungsbe- 
schreibung (210) urafalit, und 

wahrend der Personalisierung : 

Obertragen der Personalisierungsdaten (500) fur eine 
Chipkartenanwendung an die Chipkarte (100), 

Schreiben der Personalisierungsdaten (500) in den 
Datenspeicher (102) der Chipkarte (100) an die 
Speicheradresse entsprechend den Angaben (302) in der 
Anwendungsbeschreibung (300), 

Ubergeben der Angaben (203) uber die Speicheradresse 
der nSchsten Personalisierungsbeschreibung (210) aus 
der personalisierungsbeschreibung (200) an die 
Anwendungsbeschreibung (300), derart, daft der 
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Anwendungsbeschreibung (300) dann die nachste 
Personalis ierungsbeschreibung (210) zugeordnet ist, 

Wiederholen der Personalisierungsschritte fiir alle zu 
ubertragenden Personal isierungsdaten. 

Verfahren nach Anspruch 1, wobei die 

Anwendungsbeschreibung (300) Angaben (301) fur eine 
eindeutige Zuordnung der Anwendungsbeschreibung (300) 
zu einer Chipkartenanwendung umfaflt. 

Verfahren nach Anspruch 1 oder 2, wobei die 
Personalisierungsbeschreibung (200) zusatzlich Angaben 
(201, 202) umfaflt, welche die Eigenschaf ten der zu 
ubertragenden Personalisierungs-daten ( 500 ) 
beschreiben, und mit dem zusatzlichen Schritt: 

Uberpriifen der iibertragenen Personalisierungsdaten 
(500) dahingehend, ob sie die Angaben (201, 202) 
erfiillen; 

und wobei das Schreiben der Personalisierungsdaten 
(500) in den Datenspeicher (102) der Chipkarte (100) 
nur dann erfolgt, wenn die Angaben (201, 202) erfullt 
sind. 

Verfahren nach Anspruch 3, wobei die 

Personalisierungsdaten (500) hinsichtlich der Angaben 
(201, 202) aus derjenigen Personalisierungs- 
beschreibung (200) iiberpruft werden, die der 
Anwendungsbeschreibung (300) aktuell zugeordnet ist. 

Verfahren nach Anspruch 3 oder 4, wobei die 
Personalisierungsdaten (500) unter Verwendung von 
Informationen ( 303 X iiberpruft werden, die in der 
Anwendungsbeschreibung (300) enthalten sind. 



- 17 - 



DE9-1999-0004 



Verfahren nach einem der Anspruche 3 bis 5, wobei die 
in der Personalisierungsbeschreibung (200, 210) 
enthaltenen Angaben (201, 202) die Lange (201) der 
Personal is ierungsdaten (500) umfassen. 

Verfahren nach einem der Anspruche 3 bis 6, wobei die 
in der Personalisierungsbeschreibung (200, 210) 
enthaltenen Angaben (201, 202) Sicherheitsanf orderungen 
(202), die an die Personalisierungsdaten (500) gestellt 
werden, umfassen. 

Verfahren nach einem der Anspruche 1 bis 7, wobei die 
Anwendungsbeschreibung (300) einen Zahler (305) umfaflt, 
und mit dem zusatzlichen Schritt 

Inkrementieren des Zahlers (305) bei jedem 
erfolgreichen Eintragen eines Personal is ierungsdaten- 
satzes in den Datenspeicher (102) der Chipkarte (100). 

Chipkarte (100) mit Prozessor (101) zum Ausfuhren von 
Programmroutinen, Datenspeicher (102) und 
Programmroutinen zum Ausfuhren des Verfahrens nach 
einem der Anspruche 1 bis 8 . 

Chipkarte nach Anspruch 9, wobei der Datenspeicher 
(102) vor Beginn der Personalisierung der Chipkarte 
(100) umfafit: 

mindestens eine Anwendungsbeschreibung (300) einer 
Chipkartenanwendung, die Angaben (302) iiber eine 
Speicheradresse einer personalisierungsbeschreibung 
(200) umfaflt, sowie 

mindestens eine personalisierungsbeschreibung (200), 
die Angaben (203) iiber eine Speicheradresse einer 
nachsten Personalisierungbeschreibung (210) umfaflt. 
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Chipkarte nach Anspruch 10, wobei die 

Anwendungsbeschreibung (300) Angaben (301) iiber die ihr 
zugeordnete Chipkartenanwendung umfaflt. 

Chipkarte nach Anspruch 10 oder 11, wobei die 
Anwendungsbeschreibung (300) Inf ormationen (303) 
umfaftt, die zu einer Oberpriifung der 

Personalisierungsdaten (500) verwendet werden konnen. 

Chipkarte nach Anspruch 10 bis 12, wobei die 
Personalisierungsbeschreibung (200) zusatzliche Angaben 
(201, 202) umfaflt, welche die Eigenschaf ten der zu 
ubertragenden Personalisierungsdaten (500) beschreiben. 

Verfahren nach einem der Anspruche 10 bis 13, wobei die 
Anwendungsbeschreibung (300) einen Zahler (305) umfaftt, 
der bei jedem erf olgreichen Eintragen eines 
Personalisierungsdatensatzes in den Datenspeicher (102) 
der Chipkarte (100) inkrementiert wird- 
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ZUSAMMENFAS SUNG 



Die Erfindung betrifft ein Verfahren zum Initialisieren und 
Personalisieren einer Chipkarte (100) und eine entsprechende 
Chipkarte (100). Entsprechend der vorliegenden Erfindung 
werden im Datenspeicher (102) der Chipkarte (100) Daten- 
strukturen (200, 210, 300) angelegt, die eine eindeutige 
Zuordnung der bei der Personalisierung auf die Chipkarte 
(100) zu iibertragenden Personalisierungsdaten zu den 
einzelnen Chipkartenanwendungen und damit zu den Anbietern 
dieser Chipkartenanwendungen ermoglicht. Dadurch wird eine 
sichere Trennung der Chipkartenanwendungen bei der 
Personalisierung realisiert • 
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